CYBER THREAT INTELLIGENCE

Ottenete visibilità su quanto accade fuori dal perimetro aziendale.

La Cyber Threat Intelligence di ENIGMA GROUP

Monitoriamo in modo proattivo le reti, i sistemi interni ed il panorama globale delle minacce, inclusi i dati preziosi provenienti dal clear, deep e dark web, per determinare se siete stati esposti, come è successo, quali dati sono trapelati e l’entità dell’impatto che può avere sul business, al fine di identificare modelli, comportamenti e minacce prima che si materializzino. Sia che la violazione derivi da minacce esterne, attività criminali, minacce interne o negligenza dei dipendenti, acquisiamo informazioni sulla minaccia per prevenire ulteriori incidenti. Le organizzazioni devono guardare oltre il perimetro per ottenere visibilità e informazioni continue su ciò che i loro avversari sanno di loro e quindi risolvere tali problemi prima che vengano sfruttati.


Mercati darknet: sapere se i dati della vostra azienda vengono scambiati

Gli investimenti per la protezione e la prevenzione della cybersecurity si sono concentrati soprattutto sull'infrastruttura IT e sulla difesa perimetrale. Il monitoraggio del dark web può non sembrare una preoccupazione urgente, le operazioni che espongono informazioni critiche e danneggiano la vostra azienda in modo irreparabile iniziano sempre nel dark web. Sapere dove guardare e farlo tempestivamente è la chiave per proteggere i vostri beni prima che si verifichi un attacco informatico. I dati sensibili rubati alle aziende durante un attacco informatico finiscono spesso sui mercati darknet. Con l'ascesa del modello di business del crimine informatico come servizio, osserviamo che non solo i dati ottenuti dagli attacchi sono in vendita, ma anche le informazioni necessarie per organizzare l'attacco. Una volta che un aggressore ottiene l'accesso all'infrastruttura di un'organizzazione, può vendere tale accesso ad altri criminali informatici avanzati, come gli operatori di ransomware. Nel frattempo, tali attacchi comportano significative perdite finanziarie e di reputazione per l'organizzazione attaccata e possono persino causare la sospensione del lavoro e l'interruzione dei processi aziendali. Con i nostri tool e la nostra piattaforma automatizzata, monitoriamo il deep e dark web, fornendo una sorveglianza 24/7/365.


Erogazione del Servizio

Il servizio viene offerto con un Report strutturato per la gestione di azioni di remediation. Nella ricerca ed analisi delle informazioni abbiamo implementato nuove metodologie, dove la ricerca si integra con un'ampia varietà di fonti di intelligence, oltre un centinaio, anche attraverso l'OSINT di rete, relative ai domini, indirizzi IP, email, etc., ottenendo una visione più completa della superficie di attacco aziendale esposta in Internet. Un nuovo tool da noi realizzato, denominato Ransomware Gang Monitor, ci informa in tempo reale sulle nuove vittime (aziende e filiali) che le gang ransomware pubblicano costantemente nei loro siti web. È importante monitorare i siti web e forum delle gang, presenti nel dark web, come attività proattiva agli attacchi ransomware.

L'attività di Cyber Threat Intelligence è finalizzata a verificare se sono presenti, all'interno dei vari canali informativi, informazioni relative a:

> leak e vendita di informazioni e dati sensibili all'interno di forum underground e marketplace, come credenziali, vulnerabilità delle piattaforme web, cookie e vari dati sensibili che aiutano potenziali aggressori ad ottenere l'accesso iniziale ai sistemi del target;

> furto di identità dei dipendenti e profilazione (in particolare CEO, Executive, C-Level);

> phishing e spear phishing.

L'attività di Cyber Threat Intelligence è finalizzata a verificare la presenza di vulnerabilità che gli attaccanti possono sfruttare e che possono portare a:

> accesso abusivo dei server aziendali;

> accessi SSH e via shell ai server (che permette di accedere ai server in qualità di amministratore);

> SQL injection, XSS ed altri attacchi di iniezione di codice;

> escalation dei privilegi dovuta a meccanismi di autenticazione difettosi.

L'attività di Cyber Threat Intelligence permette anche di rilevare la presenza di risorse IT perse o dimenticate da tempo che possono essere così obsolete da poter essere immediatamente riconosciute come prive di patch e vulnerabili. Oltre ai server dimenticati, possono essere identificati i bucket S3 (Amazon Simple Storage Service - servizio di archiviazione di oggetti Amazon) mal configurati e le esposizioni indesiderate. Possiamo ottenere anche un quadro completo degli Shadow IT (sistemi IT gestiti al di fuori del reparto IT, spesso a loro insaputa). I servizi cloud, come le applicazioni SaaS (Software as a Service) a livello aziendale, le applicazioni di condivisione file, gli strumenti di collaborazione ed i social media, sono fattori chiave nella rete in espansione degli Shadow IT. Tutto questo porta ad una scansione delle vulnerabilità più completa e ci fornisce informazioni dettagliate su quali asset identificati potrebbero aver bisogno di protezione o essere portati offline.